MongoDB 数据库安全性的 6 个关键

由于最近涉及大公司的数据泄漏,安全再次成为趋势话题。 例如, 据ZDNet报道 ,中国公司泄露了令人惊讶的5.9亿张简历。 大部分简历泄漏是由于数据库安全性差而导致的,这些数据库在没有密码的情况下一直处于联机状态,或者由于意外的防火墙错误而最终联机。 在本文提到的八种黑客中,只有一种与MongoDB有关,但这种违规约占暴露的文档的三分之一。

在另一起举报的案件中 ,印度政府机构保留了数百万孕妇在线暴露的细节。 公开的数据包含有关患者,医生和医疗中心的详细信息。 在撰写本文时,MongoDB数据库仍然在线而没有密码。 好消息是,病历已从数据库中删除。

由于其NoSQL起源和文档架构设计,MongoDB比SQL数据库更具灵活性和可伸缩性。 结果,与传统的SQL数据库相比,MongoDB中存储的数据通常要多得多,而MongoDB数据库通常会超过TB的数据。 可以在单个数据库中公开的大量数据使涉及MongoDB的违规性更具破坏性。

好消息是,自2009年产品推出以来,多年来在提高MongoDB安全性方面已经做了很多工作。只需采取一些简单的措施就可以避免上述所有违规行为。

MongoDB提供什么以减轻安全威胁? 让我们探索一些领域和建议的解决方案,以及MongoDB的未来。

MongoDB中的数据加密

MongoDB的最严重问题之一是数据文件没有静态加密。 从3.6.8版开始, 用于MongoDB的Percona Server为 MongoDB社区版提供了静态加密。 在上游MongoDB软件中,静态数据加密仅在MongoDB Enterprise中可用。

以下示例显示了如何为Percona Server for MongoDB中的静态数据激活WiredTiger加密。 首先,必须在mongod.conf中编辑加密选项:

# Encryption variables in mongod.conf shell
[root@app ~]# grep security -A2 /etc/mongod.conf
security:
  enableEncryption: true
  encryptionKeyFile: /data/key/mongodb.key

默认情况下,Percona Server for MongoDB使用AES256-CBC密码模式。 必须使用OpenSSL创建密钥,如下所示:

# Create Encryption KeyShell
[root@app ~]# mkdir /data/key
[root@app ~]# openssl rand -base64 32 > /data/key/mongodb.key
[root@app ~]# chmod 600 /data/key/mongodb.key

现在启动Percona Server for MongoDB:

[root@app ~]# systemctl start mongod

要检查数据库中是否已成功启用加密,请使用以下命令:

# Security outputShell
mongo > db.serverCmdLineOpts().parsed.security
{ "enableEncryption" : true, "encryptionKeyFile" : "/data/key/mongodb.key" }

MongoDB中的传输加密

MongoDB支持在客户端与节点之间以及集群中的节点之间使用传输加密 。 对流量进行加密可确保没有人可以“嗅探”网络上的敏感数据。 例如,诸如Wireshark或Tcpdump之类的工具可以轻松捕获未加密的敏感数据,例如用户名和密码。

MongoDB支持与安全的TLS / SSL连接一起使用的X.509证书身份验证。 成员可以使用X.509证书来验证其副本集的成员身份。

为了使用加密,必须在所有节点上创建证书,并具有对它们进行签名的证书颁发机构(CA)。 因为使用证书颁发机构可能会非常昂贵,所以也可以使用自签名证书。 在私有基础架构中不必使用公共CA。

要设置SSL,必须修改配置文件:

# /etc/mongod.conf
net:
 port: 27017
 ssl:
 mode: 
 PEMKeyFile: /etc/ssl/mongo

MongoDB中的授权

在MongoDB部署上启用访问控制会强制执行身份验证,要求用户标识自己。 访问启用了访问控制的MongoDB部署时,用户只能执行由其角色确定的那些操作。 此外,启用访问控制后,副本集和分片群集要求成员之间进行内部身份验证。 遵循最小特权原则很重要。 任何人都不应获得超出其工作所需权限的权限,甚至DBA也应使用非提升帐户登录。

MongoDB通过基于角色的授权来授予对数据和命令的访问权限,并包括内置角色,这些角色提供了数据库系统中通常需要的不同访问级别。 此外,可以创建用户定义的角色。

要在MongoDB中创建角色并将其添加到用户:

db.createRole({
role : 'write_foo2_Collection',
privileges : [ {resource : {db : "percona", collection : "foo2"}, actions : ["insert","remove"]}
],
roles : ["read"]
})

db.updateUser('client_read', roles : ['write_foo2_Collection'])

MongoDB中的身份验证

发生大多数涉及MongoDB的违规事件是因为默认情况下禁用了身份验证。 MongoDB为每个数据库级别的身份验证提供支持。 用户存在于单个逻辑数据库的上下文中。 但是,MongoDB不支持密码复杂性,基于年龄的轮换以及用户角色与服务功能的集中和标识之类的项目。

值得庆幸的是,可以使用LDAP填补这些空白。 许多连接器都允许使用Windows Active Directory(AD)系统与LDAP通讯。

LDAP支持在MongoDB Enterprise中可用,但在MongoDB Community Edition中不可用。 但是,它在MongoDB的其他开源版本中可用,例如Percona Server for MongoDB。

为了在Percona Server中为MongoDB 设置LDAP身份验证,请执行以下步骤:

1.将mongod.conf文件配置到/ etc / sasl2文件夹(作为根目录):

Shell
# mkdir -p /etc/sasl2
# echo 'pwcheck_method: saslauthd
saslauthd_path: /var/run/saslauthd/mux
log_level: 5
mech_list: plain' > /etc/sasl2/mongod.conf

2.编辑mongod.conf或添加启动参数,以便使用sasauthd库验证用户和密码。 如果使用配置文件:

setParameter:
   authenticationMechanisms: PLAIN,SCRAM-SHA-1

如果使用启动参数:

--setParameter authenticationMechanisms=PLAIN,SCRAM-SHA-1

以root用户身份创建第一个用户。 考虑到该进程已启动并正在运行,有必要创建一个管理员用户。 对于此示例,将创建一个具有root角色的名为admin的用户(这意味着该用户可以在数据库中执行任何操作):

mongo > use admin
mongo > db.createUser({user : 'admin', pwd: '1234', roles :['root']})

使用LDAP身份验证创建标准用户。 执行下一个操作时,管理员数据库上没有保存密码。 以下命令基于LDAP创建用户,并且密码验证在数据库外部执行。 Cyrus库对验证的回答为OK或NOK,并且授权文档(角色)仍由数据库管理:

use admin
> db.auth('admin','1234')
1
> db.getSiblingDB("$external").createUser({
user : 'support1',
roles: [ {role : "read", db: 'percona'} ]
})
Successfully added user: {
"user" : "support1",
"roles" : [
  {
    "role" : "read",
    "db" : "percona"
}
  ]
}

MongoDB中的审核

审计并非旨在减轻安全威胁,但在调查未经授权的访问或跟踪数据访问和修改时会有所帮助。 一般的数据库审计概念是关于跟踪数据库记录和权限的使用。 在审核数据库时,可以监视对数据的每个操作并将其记录到审核跟踪中,包括有关触摸了哪个数据库对象或数据记录,执行该操作的帐户以及何时进行该活动的信息。

MongoDB Atlas本机提供审核日志记录,而Percona Server for MongoDB将此功能扩展到了MongoDB Community Edition。 要在命令行或配置文件中为Pergoa Server for MongoDB 启用审核日志 ,请在命令行中添加以下条目:

mongod --dbpath /var/lib/mongodb --auditDestination file --auditFormat BSON --auditPath /var/lib/mongodb/auditLog.bson

或在MongoDB配置文件中:

auditLog:
   destination: file
   format: BSON
   path: /var/lib/mongodb/auditLog.bson

MongoDB喜欢防火墙

必须将任何数据库服务器放在防火墙后面,尤其是当它包含个人身份信息(PII)或受保护的健康信息(PHI)时。 使用默认端口,允许匿名登录以及将数据库公开到Internet会创建一个完美的漏洞风暴。 防火墙是第一道防线,尤其是在公共云中运行MongoDB时。

最后,值得一提的是,MongoDB 最近雇用了有史以来第一位首席信息安全官Lena Smart,这对MongoDB安全的未来来说是一个好兆头。 Smart拥有20年的网络安全经验,履历令人印象深刻,最近担任国际金融科技公司Tradeweb的全球首席信息安全官。 我们可以预期MongoDB的安全性将继续提高。

From: https://www.infoworld.com/article/3397136/6-keys-to-mongodb-database-security.html

你可能感兴趣的:(MongoDB 数据库安全性的 6 个关键)